Сообщения

Лучшие практики по жизненному циклу безопасности ПО от PCI

PCI Software Security Framework (SSF) это набор стандартов и сопутствующих им дополнительных материалов. В данный момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую основу, а также свои особенности: ·         Secure Software Standard  – требования к функциям и возможностям безопасности ПО ·         Secure SLC Standard  – требования к процессам разработки безопасного ПО Последний стандарт обновился совсем недавно, поэтому давайте взглянем на него поподробнее: ·         как и во многих других лучших практиках, декларируется объективный риск-ориентированный подход при выборе мер защиты и частоты их выполнения ·         требования разделены на 4 большие группы: o    управление безопасностью o    безопасная разработка ПО o    управление ПО и данными o    безопасность взаимодействия ·         каждое требование включает следующие компоненты: o    задачи (Control Objectives) – результаты которые должны быть достигнуты o    оценка (Test Requir
Отправка комментария
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
4 комментария
Далее...

Юмор. О профессиональном стандарте «Блогер в сфере информационной безопасности»

Изображение
Как вы, наверное, слышали недавно госдумой были внесены изменения в ФЗ «об образовании в РФ» в части регулирования просветительской деятельности. Сразу же появилось много вопросов, о том, что блогеры по информационной безопасности тоже попадают под эти требования и как именно их будут регулировать? Как будто в ответ на эти вопросы недавно был утвержден и опубликован Профессиональный стандарт «Блогер в сфере информационной безопасности».   В стандарте определены виды блогеров, их трудовые функции, необходимое образование, навыки и умения, а также порядок взаимодействия с органами контроля. В частности, определено, что осуществления своей деятельности блогеры должны будут получить разрешительное заключение от трех профильных органов государственного контроля – Роскомнадзора, ФСТЭК России и ФСБ России. Для этого нужно будет: ·         пройти обучение в организациях, установленных профильными органами; ·         подтвердить соответствие утвержденному стандарту ; ·        
2 комментария
Далее...

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС

Изображение
  В конце прошлого года создалось впечатление что отсутствует даже базовый набор средств защиты информации подходящий под новые требования к уровням доверия. Даже у российских производителей традиционно известных только сертифицированными решениями был провал. С этим была связана последняя моя статья и аналитика в 2020 году . С момента её публикации новости о сертификации по УД посыпались как из рога изобилия и острота проблемы спала. В той статье я обещал поделиться ответами ФСТЭК по поводу применения новых требований. И хотя представители ФСТЭК в этом году и так уже публично дали на удивление много публичных комментариев ( рекомендую пересмотреть видео записи ), но возможно кому-то будет полезным посмотреть и письменные ответы органа гос. контроля на мои вопросы: “Прошу уточнить возможность применения в ГИС средств защиты информации, имеющих действующий сертификат или техническую поддержку, но не сертифицированные по уровням доверия:   ·         Можно ли использовать такие ср
Отправка комментария
Далее...

Рекомендации Банка России по информирование клиентов кредитных организаций

Изображение
  Недавно прошло онлайн совещание кредитных организаций, АРБ с Банка России по информированию клиентов по вопросам противодействия мошенничеству.   Совещание было посвящено недавним методическим рекомендациям Банка России 3-МР по «усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям» от 19.02.2021 Обязанность формировать для клиентов рекомендации по защите информации и доводить до клиентов информацию о возможных рисках установлена рядом документов: ·         пунктом 7 положения 683-П ·         пунктом 2 положения 684-П Задача повышения киберграмотности населения и координация деятельности в этойсфере поднадзорных организаций установлена п. 2.2.1.5 Положения о Департаменте информационной безопасности Банка России. В свое время финансовые организации задавали вопросы, о том, что включать в рекомендации, в каком формате и по каким каналам надо доводить эту информацию до клиентов. Собственно недавние МР-3 и являю
Отправка комментария
Далее...

Mind map по моделированию угроз ИБ

Изображение
11 марта 2021 вместе с Ксенией Лебедевой (Шудровой) и Алексеем Лукацким провели вебинар по моделированию угроз информационной безопасности. Уже прошел почти месяц с момента публикации новой методики ФСТЭК России , а никаких обзоров, анализа и обсуждений ещё не было. Нужно было кому то начинать и мы взяли на себя это. Лично я начинал анализ новой методики с того, что сделал для себя mind карту документа – отметил там основные тезисы, проблемы, направления будущей аналитики. Её же использовал при подготовке вебинара и пару раз она промелькнула на самом вебинаре. В связи с большим количеством запросов на её в комментариях – выкладываю эту карту в картинке тут. А исходники будут в группах в VK и FB Основные мои мысли по поводу новой методики: ·         В методике достаточно много остается на экспертную оценку, экспертное определение и нужно много придумывать. Соответственно нужно закладывать большое количество трудозатрат по сравнению с предыдущими вариантами методик. ·         Хот
Отправка комментария
Далее...

Лучшие практики обезличивания персональных данных

Изображение
Вчера совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини формате. Если предыдущие межблогерские вебинары стремились по времени к 3 часам, то этот удалось уместить в 1 час. Сделали обзор законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но постепенно появляется все больше случаев, когда обезличивание является обязанностью: 152-ФЗ •         Альтернатива удалению при достижении целей обработки ПДн •         При обработке в статистических или иных исследовательских целях •         В целях повышения эффективности гос. и муниципального управления •         В целях эксперимента по ИИ в Москве 123-ФЗ •         В целях эксперимента по ИИ в Москве 44-ФЗ •         Решения врачебной комиссии при закупке лекарственных препаратов 192-ФЗ •         Обезличивание фискальных данных 78-ФЗ •         Обезличивание результатов жалоб Уполномоченному при
1 комментарий
Далее...